Direct marketing en bescherming van persoonsgegevens

Transcriptie

1 Direct marketing en bescherming van persoonsgegevens A. Definitie De wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens 1, hierna de WVP genoemd, definieert het begrip direct marketing niet. In het licht van de Europese regelgeving kan daaronder evenwel worden verstaan 2 "alle activiteiten die het mogelijk maken om goederen en diensten aan te bieden of andere boodschappen te verzenden aan een deel van de bevolking via de post, de telefoon of andere middelen, gericht op het informeren van of het uitlokken van een reactie van de betrokkene alsmede enige daarmee verband houdende dienst". Toepassingen De toepassing die in het kader van deze verwerking het meest voorkomt, is de reclameboodschap die een persoon op naam wordt toegestuurd. Die boodschap wordt bezorgd door middel van diverse dragers die de evolutie van de nieuwe technologieën volgen. Voor het overbrengen van reclameboodschappen wordt thans gebruik gemaakt van een breed spectrum van middelen, met name brievenpost, fax, e mail, vaste telefoon, smsberichten op mobiele telefoons, en apparaten die automatisch een telefoonoproep genereren op basis van willekeurig gevormde nummers. 1 Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, zoals gewijzigd door de wet van 11 december 1998, B.S. 3 februari 1999, en door de wet van 26 februari 2003, B.S. 26 juni Aanbeveling R(85) 20 van 25 oktober 1985 van het Comité van Ministers aan de lidstaten inzake de bescherming van persoonsgegevens aangewend voor direct marketing; Europese Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Publicatieblad, nr. L281/31 van 23 november Hoogstraat 139 B 1000 Brussel T +32 (0) F +32 (0) E mail commission@privacycommission.be Website

2 2/36 Direct marketing kent evenwel een ruimere toepassing dan de voormelde situaties. Andere gevallen zijn: a) zowel direct marketing door een bedrijf voor haar eigen producten of diensten, als externe direct marketing d.w.z. transfers van persoonsgegevens door een bedrijf aan derden of verwerking van persoonsgegevens in opdracht van derden voor al dan niet soortgelijke producten of diensten; b) commerciële verwerkingen verricht door professionele tussenpersonen om er hun hoofdactiviteit of nevenactiviteit 3 mee te ontplooien, zoals de adressenhandel (uitwisseling, verkoop of verhuur van bestanden), de verrijking van bestanden, het gebruik van privacy invasieve technologieën met het oog op direct marketing waaronder het gebruik van intelligente chipkaarten, de opslag van biometrische gegevens en RFID gegevens 4, informatiemijnbouw ( data mining ), het creëren van een gegevenswarenhuis ( data warehousing ), profilering, ; c) niet commerciële verwerkingen, zoals de promotie van de activiteiten van een vereniging met caritatieve doelstellingen of van andere verenigingen en stichtingen 5, bijvoorbeeld van politieke aard; d) reclame zoals gedefinieerd in artikel 2, 7 van de Wet elektronische handel 6 of artikel 93, 3 van de Wet handelspraktijken 7, op voorwaarde dat deze reclame is gepersonaliseerd en dus een verwerking van persoonsgegevens inhoudt (een affiche in het stadsbeeld waarbij geen persoonsgegevens worden verwerkt, valt niet onder de WVP). 3 Een elektriciteitsleverancier kan zich bijvoorbeeld toeleggen op de handel in persoonsgegevens, op basis van de persoonsgegevens die hij via zijn normale diensten heeft verkregen. Deze nevenactiviteit wordt dus uitgeoefend naast de traditionele diensten. 4 Radio frequentie identificatie van bepaalde (consumenten)goederen. Zie het werkdocument WP 105 dd. 19 januari 2005 van de Artikel 29 Werkgroep gegevensbescherming, "Working document on data protection issues related to RFID technology", te consulteren op: 5 Voorbeelden: schriftelijke acties met het oog op geldinzameling, briefschrijfacties, kettingbrieven,. 6 De wet van 11 maart 2003 betreffende sommige juridische aspecten van de diensten van de informatiemaatschappij definieert reclame als elke vorm van communicatie bestemd voor het direct of indirect promoten van de goederen, diensten of het imago van een onderneming, organisatie of persoon die een commerciële, industriële of ambachtelijke activiteit of een gereglementeerd beroep uitoefent. 7 De wet van 14 juli 1991 betreffende de handelspraktijken en de voorlichting en bescherming van de consument definieert reclame als elke mededeling die rechtstreeks of onrechtstreeks ten doel heeft de verkoop van producten of diensten te bevorderen, ongeacht de plaats of de aangewende communicatiemiddelen".

3 3/36 B. Toepasselijke wetgeving Elke verwerking 8 van persoonsgegevens 9 met het oog op direct marketing is onderworpen aan de WVP. Daarnaast genieten consumenten ook bescherming door de Wet elektronische handel 10 en de Wet handelspraktijken 11, die een interpretatie hebben van de notie reclame die licht afwijkt van het begrip direct marketing. C. Grondbeginselen van de WVP toegepast op direct marketing. Verwerkingen van persoonsgegevens met het oog op direct marketing zijn enkel toegelaten indien de WVP in acht wordt genomen. C.1. De rechtmatigheid van de verwerking. Een verwerking van persoonsgegevens moet steeds zijn grondslag vinden in één van de limitatief in art. 5 WVP opgesomde gevallen. Zo is een gegevensverwerking met het oog op direct marketing toelaatbaar in een van de volgende gevallen : Direct Marketing met toestemming van de betrokkene; (artikel 5 a) WVP). Direct marketing bij een directe (pre)contractuele relatie met de klant of prospect; "voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen" (artikel 5 b) WVP); Direct Marketing met afgewogen belang : "voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking of van de derde 8 In artikel 1, 2 WVP is verwerking omschreven als «elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens». 9 In artikel 1, 1 WVP zijn persoonsgegevens gedefinieerd als iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit». 10 Artikel 2, 7 van de Wet van 11 maart 2003 betreffende sommige juridische aspecten van de diensten van de informatiemaatschappij, B.S. 17 maart 2003 (2 editie), hierna Wet elektronische handel. 11 Artikel 93,3 van de Wet van 14 juli 1991 betreffende de handelspraktijken en de voorlichting en bescherming van de consument, B.S. 29 augustus 1991, hierna Wet handelspraktijken.

4 4/36 aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van deze wet, niet zwaarder doorwegen" (artikel 5 f) WVP). C.1.1. Direct Marketing met toestemming van de betrokkene In het kader van direct marketing vormt de ondubbelzinnige toestemming van de betrokkene (art. 5, a WVP) een wettelijke grondslag voor marketingactiviteiten. Deze toestemming dient vrij 12 te zijn, specifiek 13 te zijn en op voorafgaande informatie te berusten (artikel 1 8 WVP). Van belang is ook dat zij op elk ogenblik kan worden ingetrokken. De toestemming van de betrokken persoon is steeds vereist: a) wanneer bepaalde communicatiemiddelen worden gebruikt; Bij het toesturen van gepersonaliseerde boodschappen per e mail, SMS/MMS, fax of door middel van geautomatiseerde oproepsystemen wordt in bijzondere wetgeving ervan uitgegaan dat dit enkel kan gebeuren mits de toestemming van de betrokkene ( opt in ). De Richtlijn 2002/58/EG 14 gaat uit van het idee dat geen evenwicht bestaat tussen het gerechtvaardigde belang van een verantwoordelijke om persoonsgegevens met het oog op direct marketing te verwerken en dat van de betrokken persoon om niet te worden gestoord. Artikel 14, 1 van de Wet elektronische handel 15 en artikel 94/17, 1 van de Wet handelspraktijken 16 hebben 12 Er is geen sprake van vrije toestemming, wanneer een persoon die zijn recht van verzet wenst uit te oefenen, geen toegang kan krijgen tot een product, een dienst, een kortingsbon, een geschenk, enz (vaak bij toetredingscontracten). Veronderstellen dat toestemming werd verleend bij gebrek aan reactie binnen een gestelde termijn, kan ook niet als vrij worden beschouwd. 13 De toestemming moet rechtstreeks van de betrokken persoon komen, maar moet ook specifiek te maken hebben met verwerkingen met het oog op direct marketing. De informatie enkel vermelden in algemene voorwaarden verhindert ook het geven van een vrije toestemming. 14 Art van de Europese richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie luidt als volgt : Het gebruik van automatische oproepsystemen zonder menselijke tussenkomst (automatische oproepapparaten), fax of e mail met het oog op direct marketing kan alleen worden toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. 15 Art. 14, 1 van de wet van 11 maart 2003 betreffende sommige juridische aspecten van de diensten van de informatiemaatschappij bepaalt het volgende: "Het gebruik van elektronische post voor reclame is verboden zonder de voorafgaande, vrije, specifieke en geïnformeerde toestemming van de geadresseerde van de boodschappen. Op de gezamenlijke voordracht van de Minister bevoegd voor Justitie en van de Minister bevoegd voor Economische Zaken, kan de Koning voorzien in uitzonderingen op het verbod als bepaald in het eerste lid". Het begrip elektronische post wordt gedefinieerd in art. 2, 2 van de Wet van 11 maart 2003 als tekst, spraak, geluids of beeldbericht dat over een openbaar communicatienetwerk wordt verzonden en in het netwerk of in de eindapparatuur van de ontvanger kan worden opgeslagen tot het door de afnemer wordt opgehaald". 16 De vereiste van opt in werd met ingang van 1 januari 2006 ook voorzien in de Wet handelspraktijken zowel voor de oproepsystemen zonder menselijke tussenkomst, als voor faxen met specifiek aan de persoon gerichte reclame. Art. 94/17, 1 van de wet van 14 juli 1991 betreffende de handelspraktijken en de voorlichting en bescherming van de consument, stelt het volgende: "Het gebruik van geautomatiseerde oproepsystemen zonder menselijke tussenkomst en het gebruik van faxen voor specifiek aan de persoon gerichte reclame is verboden zonder de

5 5/36 dit principe inmiddels vertaald naar het gebruik van e mail, fax en geautomatiseerde oproepsystemen voor reclame. De FOD Economie is bevoegd om de naleving van deze wetten te onderzoeken. Niettemin is een dergelijke opt in in het kader van de Wet elektronische handel niet altijd vereist, vermits in art. 14, 1, 2 lid van deze wet is bepaald dat een koninklijk besluit 17 uitzonderingen kan voorzien. In een aantal gevallen moet immers geen voorafgaande toestemming worden gevraagd en kan de betrokkene zich enkel nadien verzetten (opt out). De FOD Economie heeft voor deze problematiek de brochure de spamming in 24 vragen en antwoorden opgesteld uitgebracht, die kan worden geraadpleegd op haar website 18. b) wanneer men gevoelige gegevens verwerkt; Ingeval de verwerkte gegevens gevoelige gegevens zijn 19 in de zin van de artikelen 6 en 7 WVP, is de schriftelijke toestemming van de betrokken persoon vereist. voorafgaande, vrije, specifieke en geïnformeerde toestemming van de geadresseerde van de boodschappen. Bij een besluit, vastgesteld na overleg in de Ministerraad, kan de Koning dit verbod uitbreiden tot andere communicatietechnieken, rekening houdend met de evolutie ervan". 17 Zie o.a. het K.B. van 4 april 2003 tot reglementering van het verzenden van reclame per elektronische post, dat in art. 1, 1 voorziet dat "In afwijking van artikel 14, 1, eerste lid van de wet van 11 maart 2003 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, en onverminderd hetgeen bepaald is in artikel 2 van dit besluit, elke dienstverlener ervan [is] vrijgesteld de voorafgaande toestemming te vragen om reclame per elektronische post te ontvangen : 1 bij zijn klanten, natuurlijke of rechtspersonen, indien elk van de volgende voorwaarden vervuld is : a) hij heeft rechtstreeks hun elektronische contactgegevens verkregen in het kader van de verkoop van een product of een dienst, mits de wettelijke en reglementaire voorwaarden betreffende de bescherming van de private levenssfeer nageleefd zijn; b) hij gebruikt de beschouwde elektronische contactgegevens uitsluitend voor gelijkaardige producten of diensten die hijzelf levert; c) hij geeft aan de klanten, op het ogenblik waarop hun elektronische contactgegevens worden verzameld, de mogelijkheid om zich kosteloos en op gemakkelijke wijze tegen de uitbating te verzetten." 18 Zie 19 Gevoelige gegevens zijn: a) de persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook de verwerking van persoonsgegevens die het seksuele leven betreffen (artikel 6, 1 WVP); b) de persoonsgegevens die de gezondheid betreffen (artikel 7, 1 WVP); c) de persoonsgegevens inzake geschillen voorgelegd aan hoven en rechtbanken alsook aan administratieve gerechten, inzake verdenkingen, vervolgingen of veroordelingen met betrekking tot misdrijven, of inzake administratieve sancties of veiligheidsmaatregelen (art. 8 WVP). De toestemming kan niettemin een verwerking van gerechtelijke gegevens (art. 8 WVP) nooit rechtvaardigen. Gerechtelijke gegevens mogen dus geenszins worden gebruikt voor direct marketing.

6 6/36 c) wanneer de betrokken persoon minderjarig is. Als de betrokken persoon een minderjarige is zonder onderscheidingsvermogen, is de toestemming van zijn wettelijke vertegenwoordigers vereist alvorens tot de verwerking van zijn persoonsgegevens mag worden overgegaan 20. d) wanneer de beoogde direct marketingactiviteit niet verenigbaar is met het oorspronkelijke doeleinde waarvoor de gegevens werden ingezameld (zie verder onder punt C.2.); e) wanneer er sprake is van "virale marketing" Op het internet zijn voorbeelden bekend waarbij men wordt aangespoord om de persoonsgegevens van vrienden of kennissen vrij te geven, vaak voor direct marketingacties, dit is de zogenaamde virale marketing. Bij gebrek aan passende waarborgen ten aanzien van de betrokken personen lijkt het mededelen aan derden van persoonsgegevens van vrienden en kennissen voor direct marketingdoeleinden onvoldoende legitimiteit te genieten in het licht van de WVP. De betrokken vrienden/kennissen zijn immers doorgaans niet vooraf geïnformeerd, noch hebben zij daartoe hun toestemming gegeven, waardoor zij geen controle hebben op de verwerking van hun persoonsgegevens. Indien het reclame via e mail of SMS betreft, heeft de FOD Economie voor deze problematiek ook een nota opgesteld met de titel Hoe wettelijk is de virale marketing? 21. f) wanneer er sprake is van handel in persoonsgegevens met het oog op direct marketing of het aanleggen en gebruik van persoonsprofielen met het oog op direct marketing 22. Dergelijke verwerkingen beschouwt de Commissie steeds als verwerkingen voor aparte, onverenigbare finaliteiten, die niet kunnen kaderen in het eigen klantenbeheer (artikel 5 b) WVP). Gelet op hun privacyinvasieve aard 20 Zie in dit kader het door de Commissie uitgebrachte advies nr. 38/2002 van 16 september 2002 betreffende de bescherming van de persoonlijke levenssfeer van minderjarigen op internet. De Commissie adviseerde hierbij om hetzij de toestemming te vragen van de ouders, hetzij van de minderjarige die beschikt over afdoende onderscheidingsvermogen. Hoewel dit criterium kan variëren naargelang de praktische en juridische context, wordt deze niettemin meestal gesitueerd op een leeftijd tussen 12 en 14 jaar viral_note_nl.pdf 22 Uit een bevraging van de Europese Privacycommissies blijkt dat dergelijke verwerkingen met het oog op direct marketing in toenemende mate onder discussie staan en derhalve door de privacycommisies aan de toestemming van de betrokkenen worden onderworpen. In Bulgarije, Italie en Noorwegen bestaat zelfs bijzondere reglementering in die zin.

7 7/36 en oogmerk, verbreken zij ook het belangenevenwicht dat vereist is voor beroep op het afgewogen belang als residuaire grond (artikel 5 f) WVP). Een profiel kan worden gedefinieerd als een geïnformatiseerde methode die beroep doet op technieken van de aanleg van een gegevenswarenhuis ( data warehousing ) en informatiemijnbouw ( data mining ), die kunnen toelaten om, met een bepaalde graad van waarschijnlijkheid en derhalve een bepaald niveau aan fouten, een bepaalde persoon in een bepaalde categorie te plaatsen, teneinde individuele beslissingen te nemen ten aanzien van die persoon 23. C.1.2. Direct marketing bij een directe (pre)contractuele relatie met de klant of prospect (artikel 5 b) WVP) In de praktijk is er vaak sprake van het sturen van aanbiedingen over producten en diensten door een verantwoordelijke waarbij men reeds klant is, of waarbij de betrokkene zelf heeft gevraagd klant te worden. Een normaal, goed klantenbeheer (zgn. customer relationship management ) omvat meer dan enkel de contractuele opvolging (facturatie van het product en/of de dienst, eventuele ingebrekestellingen en dergelijke meer). Ook het contacteren van de bestaande klanten om na te gaan of deze klant tevreden is over de bestaande producten of diensten en/of de klant een contractverlenging wenst aan te gaan, dient te worden beschouwd als een normaal klantenbeheer. De gebruikelijke contactnames bij een dergelijk normaal klantenbeheer door de commerciële diensten van de onderneming voor dezelfde of soortgelijke producten of diensten lijken niet op zich strijdig met de redelijke verwachtingen van de klant en houden normaal geen gevaar in voor de inbreuken van de rechten en vrijheden van de betrokken klanten en de doeleinden van de verwerkingen. Dit is bijvoorbeeld het geval indien een bankverzekeraar of een telecombedrijf de klant aanschrijft met aanbiedingen voor nieuwe tariefformules voor een reeds afgenomen dienst, of indien een gasleverancier een potentiële klant op diens verzoek een toetredingsformulier toestuurt voor een nieuwe dienst. Een aantal voorwaarden moet wel zijn voldaan, opdat de redelijke verwachtingen van de klant niet zouden zijn geschonden (artikel 4 1, 2 WVP). Het moet gaan om a) aanbiedingen van dezelfde of soortgelijke producten of diensten. 23 Definitie vermeld in het expertverslag voor het raadgevend bureau van het verdrag nr 108; DINANT, J.M. e.a., L'application de la Convention 108 au mécanisme de profilage, T PD BUR, augustus 2007

8 8/36 Bijvoorbeeld : Een bankverzekeraar die dezelfde of soortgelijke bankverzekeringsproducten aanbiedt als degene waarvoor de betrokkene reeds klant is bij deze bankverzekeraar. Valt hier niet onder: een grootwarenhuis die klanten aanbiedingen voor reizen en verzekeringen verstuurt. In de praktijk is wel vaak een verschuiving merkbaar in het pakket aan producten of diensten die een onderneming gewoonlijk aanbiedt aan haar klanten, zoals een telecomonderneming die niet enkel telecommunicatiediensten aanbiedt, maar ook mediadiensten (digitale TV), een bankier die evolueert naar een bankverzekeraar. In de mate dat deze verschuivingen ook duidelijk en publiekelijk merkbaar zijn, zullen de verwachtingen van de klanten uiteraard mee evolueren. b) door dezelfde aanbieder Er mag geen sprake zijn van transfer, hergebruik of handel in persoonsgegevens. Aanbiedingen door derden of "verwante vennootschappen" waarmee een aanbieder contractueel verbonden is, vallen normaal dus niet langer onder het eigen klantenbeheer. Het geval van uitbesteding (outsourcing) van marketingacties aan een externe onderneming (vaak een professionele direct marketing onderneming) is echter een bijzondere situatie. Hierbij kan nog steeds sprake zijn van eigen klantenbeheer. Er is evenwel in die situatie steeds sprake van hogere beveiligingsrisico's voor de betrokkenen, die dienen te worden opgevangen door de vereiste beveiligingsmaatregelen (artikel 16 2 WVP), en het afsluiten van een verwerkersovereenkomst (artikel 16 1 WVP). Deze overeenkomst zal afdoende clausules en controletechnieken moeten voorzien opdat de klantgegevens niet verder zullen worden verhandeld of gebruikt door de ontvanger voor eigen doeleinden. Een vaak gebruikte techniek is hiertoe dat de gegevensleverancier controleadressen kan toevoegen, om eventueel hergebruik en bestandsvermenging te detecteren. c) de betrokkene is reeds klant of heeft zich zelf als prospect gemeld. Volgens artikel 5 b) WVP moet er sprake zijn van aanbiedingen waarbij de betrokkene reeds klant is of aanbiedingen voor een bijzondere product of dienst die worden gestuurd door een dienstenaanbieder omdat de betrokkene hierom zelf heeft gevraagd. Aanbiedingen op basis van algemene "enquêtes naar

9 9/36 consumentenvoorkeuren" van direct marketing ondernemingen vallen hier niet onder, omdat deze enquêtes niet zijn afgenomen door dezelfde aanbieder. C.1.3. Direct Marketing met afgewogen belang (artikel 5 f) WVP) Een andere grond voor toelaatbaarheid van direct marketing, die in de praktijk nog te vaak onterecht als een evidente rechtsbasis wordt ingeroepen, is de mogelijkheid om persoonsgegevens voor direct marketingdoeleinden wanneer "de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke voor de verwerking 24 of van de derde aan wie de gegevens worden verstrekt". Van belang is dat het hierbij gaat om een residuaire rechtsgrond (hierna onder a), en dat deze rechtsgrond gekoppeld is aan de naleving van bijkomende voorwaarden (hierna onder b) en d) door de verantwoordelijke voor de verwerking. In een aantal situaties is er echter nooit sprake van een afgewogen belang (hierna onder c). C Het afgewogen belang is een residuaire rechtsgrond Uit een bevraging van de Europese privacycommissies eind 2007 blijkt dat een beroep op artikel 7 f) uit de Richtlijn 95/46/EG (omgezet in artikel 5 f) van de WVP) door de meerderheid van de landen als een residuaire categorie wordt beschouwd. Dit betekent dat zij enkel kan worden ingeroepen indien noch de toestemming van de betrokkene (artikel 5 a) WVP), noch een directe (pre)contractuele relatie met betrokkene (artikel 5 b) WVP) voorhanden zijn. C Het afgewogen belang vereist de naleving van een aantal voorwaarden Voorwaarde is volgens de WVP dat "het belang of de fundamentele rechten en vrijheden van de persoon op wie de gegevens betrekking hebben niet in het gedrang worden gebracht (art. 5, f WVP). Artikel 5, f WVP bevat dus geen vermoeden dat het gerechtvaardigde commerciële belang van de verantwoordelijke voor de verwerking of van de derde steeds zwaarder zou wegen dan de rechten en vrijheden van de betrokken persoon Art. 1, 4 WVP. Onder "verantwoordelijke voor de verwerking" wordt de natuurlijke persoon of de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. 25 Hierop werd reeds gewezen door zowel de Raad van State, als de Commissie in het door haar uit eigen beweging uitgebrachte advies nr. 34/2000 van 22 november 2000 betreffende de bescherming van de persoonlijke levenssfeer in het kader van de elektronische handel waaruit bleek dat een eenvoudig beroep door de verantwoordelijke op artikel 5 f WVP niet

10 10/36 De wetgever of de Koning hebben echter tot op heden niet de voorwaarden verwoord onder dewelke direct marketeers op legitieme wijze beroep kunnen doen op artikel 5 f) van de WVP. Omdat dit gebrek aan objectieve maatstaven voor vragen en klachten zorgde, stelde de Commissie eind 2007 de Europese Privacycommissies de vraag wat de voorwaarden zijn die men in de andere landen van de EU doorgaans oplegt om het analoge artikel 7 f) uit de Richtlijn 95/46/EG 26 toe te passen. In drie landen 27 is voor verwerkingen met het oog op direct marketing een beroep op artikel 7 f) van de Richtlijn volledig uitgesloten. De Commissie is geen voorstander voor een dergelijk totaalverbod. Zij is eerder voorstander voor het opsommen van de voorwaarden die dienen te worden nageleefd voor een correct beroep op artikel 5 f) WVP. C In een aantal situaties is er geen sprake van een belangenevenwicht en kan artikel 5 f) WVP niet meer worden ingeroepen Uit de bevraging en herhaalde vragen om informatie en klachten bij de Commissie blijkt dat in volgende situaties steeds het belangenevenwicht verbroken is. In dat geval kan enkel tot direct marketing worden overgegaan indien de ondubbelzinnige toestemming van de betrokkene werd verkregen: a) als de direct marketingactiviteiten ertoe zouden leiden dat de betrokken persoon het recht op controle op zijn persoonsgegevens verliest 28. Volgende situaties vallen hieronder : een verwerking voor een onverenigbaar doel zoals bij de handel in persoonsgegevens met het oog op direct marketing van klant of personeelsgegevens (artikel 4 1, 2 WVP); de betrokkene werd niet of niet duidelijk geïnformeerd (art. 9 WVP); de betrokkene heeft niet de gelegenheid gehad om zijn recht van verzet uit te oefenen (art. 12 WVP; art. 34 en 35 K.B. 13 februari ); volstond om de nieuwe verwerking (het hergebruik van de bestaande klantgegevens) te legitimeren. 26 Dat de rechtsgrond vormt voor het artikel 5 f) WVP; 27 Ierland, Litouwen en Slovenië 28 Bijvoorbeeld in geval van externe direct marketing (zie A.1. a) beschikt de betrokkene niet over enig zicht op de verwerking van zijn persoonsgegevens, indien hij niet vooraf werd ingelicht over de doorgifte van zijn gegevens aan een derde onderneming en hem voorafgaand aan de doorgifte niet de mogelijkheid werd gegeven zich daartegen te verzetten. 29 Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, B.S. 13 maart 2001.

11 11/36 het verzet van de betrokkene heeft de weigering van het beloofde voordeel tot gevolg. Bijvoorbeeld : een krantenbon waarbij het verzet tegen gebruik met het oog op direct marketing tot gevolg heeft dat men geen korting, of geen "gratis" product of dienst krijgt; b) als de verantwoordelijke een gewijzigde rol heeft aangenomen tussen het eerste contact met de betrokkene en het latere hergebruik van de persoonsgegevens 30. Bijvoorbeeld : een bankier die zich heeft geherorienteerd als bankverzekeraar en alle klantgegevens herbruikt voor bankverzekeringsdoeleinden, een telecomonderneming die zich heroriënteert door het aanbieden van mediadiensten (digitale TV); c) bij het centraliseren of consolideren van de informatie in een database die voor meer doelstellingen wordt gebruikt dan waarvoor de informatie initieel werd verkregen, bijvoorbeeld in het kader van een fusie of een overname; d) in geval van virale marketing (zie hiervoor). C Voorwaarden voor een geldig beroep op artikel 5 f) WVP. In afwachting van enige reglementaire verduidelijking onder artikel 5 f) WVP, is de Commissie van oordeel dat elk beroep op artikel 5 f) van de WVP voor alle verwerkingen met het oog op direct marketing steeds moet worden gekoppeld aan de naleving van volgende voorwaarden, die eveneens worden opgelegd door een meerderheid van de privacycommissies in de EU. a. de verantwoordelijke respecteert het eerlijkheidsbeginsel (artikel 4 1, 1 WVP). Uit voormelde Europese bevraging blijkt dat dit onder meer wil zeggen dat de verantwoordelijke zijn informatieplicht naleeft, zijn adres of identiteit niet verbergt, het uitoefenen van de rechten van toegang of verzet niet bemoeilijkt door een kostprijs of bijzondere procedure (bvb aangetekende brief) op te leggen, een eerdere opt out of gebrek aan toestemming van betrokkene respecteert, en geen inbreuk pleegt op overige rechten zoals het recht op vertrouwelijkheid en bescherming van gevoelige persoonsgegevens. Het is eveneens vereist dat alle ontvangers (en ingeval van doorgifte, de ontvangers in tweede orde) of ten minste alle categorieën van ontvangers van de commerciële bestanden worden geïdentificeerd, zulks zodra de gegevens bij de 30 Bijvoorbeeld: een bankinstelling die zich in de loop van enkele jaren heroriënteert als bankverzekeringsinstelling en bankklanten bankverzekeringsproducten aanbiedt zonder vrije en specifieke toestemming of contractuele basis voor de marketingactiviteiten van de verantwoordelijke voor de verwerking, in casu de bankinstelling.

12 12/36 betrokkene worden verzameld, zodanig dat de betrokkene weet tot wie hij zich voor de uitoefening van zijn recht dient te richten. b. het individu werd op duidelijke en individuele wijze in de mogelijkheid gesteld om zich te verzetten tegen verwerkingen met het oog op direct marketing. c. er worden geen gevoelige persoonsgegevens verwerkt; d. er is geen sprake van inbreuk op andere rechtsregels waaraan de verantwoordelijke zich moet houden zoals de overige verplichtingen onder de WVP, e. de verantwoordelijke heeft het bestaan van opt out gecontroleerd voor elk gebruik met het oog op direct marketing f. de bron van de gegevens van betrokkene automatisch wordt meegedeeld (dus zonder expliciet verzoek van de betrokkene via zijn recht van toegang), indien de verantwoordelijke de gegevens niet rechtstreeks bij de betrokkene heeft verkregen C.2. Het doeleinde van de verwerking. Persoonsgegevens mogen enkel voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen en niet verder worden verwerkt op een wijze die onverenigbaar is met die doeleinden. De verenigbaarheid van dergelijke verdere verwerking met de eerste verwerking moet worden beoordeeld rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen (art. 4, 1, 2 WVP). In concreto houdt dit in dat bij de beoordeling van het al dan niet geoorloofd karakter van de beoogde direct marketingactiviteit dient te worden nagegaan of deze verdere verwerking al dan niet verenigbaar is met het oorspronkelijke doeleinde waarvoor de gegevens werden ingezameld, hetgeen een precieze bepaling van het initiële doeleinde vooronderstelt. De Commissie is van oordeel dat elke handel van persoonsgegevens steeds een verwerking voor een nieuwe verwerking creërt die onverenigbaar is met de bronverwerking, en dus strijdig is met artikel 4 1, 2 WVP. In dit geval acht zij de

13 13/36 toestemming van de betrokkenene vereist en hogere beveiligingsmaatregelen, gelet op de hogere risico's voor de betrokkenen. Na bevraging van de Europese Privacycommissies werden bovendien een aantal bijkomende criteria aangehaald om onverenigbaar gebruik met het oog op direct marketing concreet te beoordelen, bijvoorbeeld in een bestaande klantrelatie met de verantwoordelijke. Deze criteria zijn de volgende : a. verschilt het aangeboden product of de dienst van het beoogde gebruik wezenlijk ten opzichte van het oorspronkelijke gebruik van de gegevens? b. verschilt de sector waarin de persoonsgegevens zullen worden gebruikt wezenlijk ten opzichte van het oorspronkelijke gebruik van de gegevens? c. heeft de verantwoordelijke reeds een klantrelatie met de betrokken persoon opgebouwd? De eventuele onverenigbaarheid van de verdere verwerking kan enkel worden opgeheven wanneer de betrokken persoon instemt met de verdere verwerking (art. 5, a WVP), zulks nog vóór de aanvang van de beoogde verdere verwerking (art. 9 WVP). De onverenigbare aanwending van persoonsgegevens wordt bovendien strafrechtelijk bestraft (artikel 39, 1 WVP). Voorbeelden van onverenigbare verwerkingen: a) Elke handel in persoonsgegevens (zie hiervoor). b) Elk hergebruik van openbare gegevensbronnen met het oog op direct marketing. Een ander voorbeeld van onverenigbaarheid van de verdere verwerking die direct marketing tot doel heeft met de initiële gegevensverwerking is dat sommige marketingbedrijven of diensten zich wenden tot een openbare bron en op die wijze gegevens verzamelen die zij op hun beurt gebruiken voor publicitaire doeleinden. Dergelijke bronnen kunnen zijn: berichten in de geschreven media (advertenties in weekbladen, geboortekaartjes, huwelijksaankondigingen en doodsberichten), informatie beschikbaar op het internet (blogs, discussiefora, website van werkgevers met professionele coördinaten van natuurlijke personen) of databases in overheidsbeheer (het kadaster van de onroerende goederen, kruispuntbank van ondernemingen, dienst inschrijving voertuigen, BTWregister, ).

14 14/36 Bepaalde ondernemingen menen verkeerdelijk dat dergelijke gegevens, gelet op de publieke aard ervan, niet ressorteren onder het toepassingsgebied van de WVP, omdat de betrokken persoon die persoonsgegevens zelf heeft bekendgemaakt, dan wel omdat de openbaarheid ervan wettelijk is verplicht. Daarvan uitgaande gebruiken zij dergelijke gegevens voor direct marketingdoeleinden. De WVP geldt echter ook voor de gegevens openbaar gemaakt door de betrokkenen en voor de gegevens in de registers die krachtens de wet openbaar moeten zijn 31. Het finaliteitsbeginsel (art. 4, 1, 2 WVP) moet bijgevolg ook in deze gevallen worden nageleefd. In bedoeld geval staat vast dat de personen de gegevens openbaar maken in het kader van een welbepaald doeleinde dat geenszins het gebruik ervan door derden voor direct marketing beoogt. C.3. De evenredigheid van de verwerking. De verzamelde en verwerkte persoonsgegevens moeten toereikend, ter zake dienend en niet overmatig zijn, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt (art. 4, 1, 3 WVP). Dit principe heeft een impact op zowel de verantwoordelijke voor de verwerking die als doeleinde direct marketing vooropstelt, als de verantwoordelijke voor de verwerking die andere doeleinden dan direct marketing nastreeft. Dit betekent dat de verantwoordelijke voor de verwerking met het oog op direct marketing enkel de persoonsgegevens mag verwerken die strikt noodzakelijk zijn om reclameboodschappen te verzenden. De verantwoordelijke voor de verwerking die geenszins direct marketing beoogt, dient zich te onthouden van het opvragen en verwerken van gegevens die in het licht van het door hem beoogde doel overmatig zijn en dewelke zouden toelaten over te gaan tot direct marketing. Een persoon heeft het recht om verzet aan te tekenen op 31 Krachtens de Europese richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens zijn er met betrekking tot wettelijk openbare registers, geen uitzonderingen meer mogelijk op de toepassing van de wetten op de bescherming van persoonsgegevens, zodanig dat de wet van 11 december 1998 houdende omzetting van de richtlijn art. 3, 2, 2 van de oude WVP zoals gepubliceerd in het Belgisch Staatsblad van 18 maart 1993, heeft opgeheven. De openbaarheid van de gegevens leidt dus niet langer tot de ontkrachting van de toepassing van de gewijzigde wet en de verantwoordelijke voor de verwerking moet inzonderheid rekening houden met het doeleinde van een register van persoonsgegevens, ongeacht het bestaan van een wettelijke bepaling inzake openbaarheid.

15 15/36 het document aan de hand waarvan de gegevens worden verzameld (art. 34, lid 1 van het uitvoeringsbesluit). Indien hij dit recht bijvoorbeeld uitoefent op een deelnemingsformulier voor een wedstrijd, kan hij niet worden uitgesloten van deelname aan die wedstrijd omdat hij zich heeft verzet. De niet naleving van artikel 4, 1, 3 WVP wordt strafrechtelijk bestraft (art. 39, 1 WVP). C.4. Een dataretentietermijn voor massabestanden en bestandsverrijking met het oog op direct marketing Op basis van de WVP geldt een beperkte bewaartermijn (zgn. "dataretentietermijn") voor verwerkingen die enkel worden verricht met het oog op direct marketing, zonder enig (recent) direct contact met betrokkene (artikel 4 1, 4 en 4 1, 5 WVP). Een probleem in de praktijk is vaak dat na een fysieke of virtuele verhuis het adresgegeven, e mailadres, telefoonnummer edm in klantenbestanden niet langer correct zijn, waardoor verwerkingen met het oog op direct marketing inefficiënter worden. De direct marketing sector heeft op basis van deze nood diverse diensten ontwikkeld, die bestaan uit de aanleg van gegevenswarenhuizen en het aanbieden van diensten van bestandsverrijking 32 en ontdubbeling van bestanden 33. Dergelijke verwerkingen hebben actueel een dusdanige verwerkingskracht en privacyinvasief potentieel gekregen, dat zij het Rijksregister onrechtstreeks (via hun techniek) benaderen en (door hun inhoud) overstijgen 34. Gegevenswarenhuizen die met het oog op direct marketing worden aangelegd zijn onder meer de private consumenten en verhuisbestanden, naast de klassieke adressenlijsten 35. Bij dergelijke massabestanden is de bron voor de betrokkenen vaak onbekend of totaal ontransparant geworden, zonder dat er nog sprake is van enig contact met en duidelijke informatie aan de betrokkene. Indien er geen sprake (meer) is van een directe contractuele relatie met de betrokken klant, stelt zich de vraag of persoonsgegevens nog 32 Het technische proces om via een omweg toch de actuele persoonsgegevens te "restaureren" of bij te voegen in een bestaand klantenbestand, noemt men "bestandsverrijking". 33 Een dienst die naast het verwijderen van dubbels ook standaardisering van adressen en het wegduwen van de verzetslijst en van verhuisde personen omvat. 34 Een voorbeeld vormt de samenwerking tussen een bestandseigenaar en een on line aanbieder van een low budget telecomdienst, waarbij de aanmeldingen van nieuwe abonnees continu worden vergeleken met het bestand van de bestandseigenaar. Houders van afwijkende gegevens, worden gevraagd zich te identifceren. Dergelijk systeem poogt de correctheid van het rijksregister te benaderen. Anderzijds bevatten private gegevenswarenhuizen persoonsgegevens die niet kunnen worden opgenomen in verwerkingen die door overheidsdiensten worden beheerd. 35 Bijvoorbeeld : de bestanden Select Post en Mutapost (De Post), Consu Data en Sophie's Shopping Club (Wegener DM)

16 16/36 voor onbepaalde duur kunnen blijven worden verzameld 36, en gekoppeld kunnen worden aan externe databanken met verhuisgegevens. Ter legitimering van dergelijke massabestanden wijzen direct marketeers er soms op dat zij op basis van de WVP een verbeteringsplicht zouden hebben. Artikel 4, 1, 4 WVP stelt dat persoonsgegevens dienen "nauwkeurig te zijn en, zo nodig, te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren. Uit de bewoording "uitwissen of verbeteren" kan dus geen eenvoudige verbeteringsplicht worden afgeleid door bestandseigenaren. Indien het gaat om verwerkingen met het oog op direct marketing, dient ook rekening te worden gehouden met het feit dat de betrokkene een recht op vergetelheid ("droit à l'oubli") heeft. Het niet melden van een gewijzigd adres is nog steeds een van de beste strategieën om spam en ongewenste communicaties te verminderen. Artikel WVP stelt dat persoonsgegevens, in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer (dienen) te worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt, noodzakelijk is". De Commissie is van oordeel dat de opname in massabestanden en continue dataverrijkingsoperaties zonder concrete einddatum, zonder afdoende transparant contact met de betrokkene verboden is op basis van het proportionaliteitsbeginsel, het recht op vergetelheid en de informatieplicht (artikel 4 1, 3, 5 en 9 WVP). Zij is van oordeel dat een schrappingsverplichting bestaat bij bestandseigenaren die persoonsgegevens blijven verrijken zonder enige aantoonbaar recent contact met de betrokkene (artikelen 4 1, 4 en 4 1, 5 WVP). De Commissie roept de sector (BDMV) op een redelijke dataretentietermijn te bepalen, vanaf het ogenblik van laatste directe contact met de betrokkene. Bij gebrek aan dergelijke termijn heeft elke betrokkene overigens het recht om zijn gegevens volledig te laten verwijderen uit dergelijke massabestanden (artikel 12 1 WVP in fine), naast de klassieke verzetsmogelijkheid onder artikel 12 1 WVP tegen verwerkingen met het oog op direct marketing (artikel 12 1, 3 lid WVP). 36 Cf. databanken die zogenaamde verhuis of "NPAI" codes verzamelen ("n'habite plus à l'adresse indiquée")

17 17/36 C.5. Correcte en voorafgaande informatie aan de betrokken persoon tijdens de verzameling of doorgifte van de gegevens. Teneinde te voorkomen dat persoonsgegevens worden verzameld of doorgegeven buiten medeweten van de betrokkenen, is de inhoud van de informatie die hen moet worden verstrekt, omschreven in artikel 9 WVP, en is de wijze waarop het recht van verzet moet worden meegedeeld aan de betrokkene, nader bepaald in de artikelen en van het K.B. van 13 februari 2001, hierna het uitvoeringsbesluit genoemd. Krachtens art. 9 WVP moet de verantwoordelijke voor de verwerking de personen van wie de gegevens worden verwerkt met het oog op direct marketing altijd op voorhand 39 en persoonlijk informeren, dus nog voor een verwerking voor het eerst plaatsvindt. De informatie moet op duidelijke en begrijpelijke wijze worden meegedeeld, op een welbepaalde en onderscheiden plaats (dus niet verborgen of omslachtig door de informatie bijvoorbeeld enkel in de algemene voorwaarden te vermelden). Art. 9 WVP behandelt de twee mogelijke gevallen: 1. de verzameling van persoonsgegevens bij de betrokken persoon; 2. de verzameling van persoonsgegevens die niet bij de betrokkene zijn verkregen. De niet naleving van de informatieverplichting wordt strafrechtelijk bestraft (artikel 39, 4 WVP). C.5.1. Verzameling van de persoonsgegevens bij de betrokken persoon (art. 9, 1 WVP) De gegevens kunnen door de verantwoordelijke voor de verwerking rechtstreeks bij de betrokkene zijn verzameld Art. 34. Ingeval persoonsgegevens schriftelijk bij de betrokken persoon worden verzameld, vraagt de verantwoordelijke voor de verwerking op het document aan de hand waarvan de gegevens bij betrokkene worden verzameld aan deze laatste of hij het recht op verzet waarin artikel 12, 1, derde lid, van de wet voorziet, wenst uit te oefenen. Ingeval de persoonsgegevens bij de betrokken persoon op een andere dan schriftelijke wijze worden verzameld, vraagt de verantwoordelijke aan die persoon of hij het recht op verzet waarin artikel 12, 1, derde lid, van de wet voorziet, wenst uit te oefenen. De betrokkene kan zulks doen op een document dat de verantwoordelijke voor de verwerking hem bezorgt ten laatste twee maanden nadat de persoonsgegevens zijn verzameld of aan de hand van enig technisch middel op grond waarvan kan worden aangetoond dat hem de mogelijkheid is geboden voornoemd recht uit te oefenen. 38 Art. 35. Ingeval de persoonsgegevens niet bij de betrokken persoon worden verzameld, vraagt de verantwoordelijke voor de verwerking, die onderworpen is aan artikel 9, 2, c), van de wet, aan die persoon schriftelijk of hij het recht op verzet waarin artikel 12, 1, derde lid, van de wet voorziet, wenst uit te oefenen. 39 De Commissie was reeds in het advies nr. 25/1999 van 23 juli 1999 van oordeel dat de vrijstelling in artikel 9 2 WVP niet kan worden toegepast voor verwerkingen met het oog op direct marketing 40 Bijvoorbeeld: wanneer de betrokken persoon klant is bij de onderneming en deze onderneming aan de betrokkene in de toekomst gepersonaliseerde reclame zal toesturen.

18 18/36 1. Inhoud van de informatie De verantwoordelijke voor de verwerking moet de persoon op wie de persoonsgegevens betrekking hebben en die rechtstreeks bij deze persoon worden verkregen uiterlijk op het moment dat de gegevens worden verkregen ten minste de hierna volgende informatie verstrekken, behalve indien de betrokkene daarvan reeds op de hoogte is: a) de naam en het adres van de verantwoordelijke voor de verwerking 41 ; b) de doeleinden van de verwerking; c) het bestaan van een recht om zich op verzoek en kosteloos tegen de voorgenomen verwerking 42 van hem betreffende persoonsgegevens te verzetten, indien de verwerking verricht wordt met het oog op direct marketing; d) andere bijkomende informatie, met name: de ontvangers of de categorieën ontvangers van de gegevens 43 ; het al dan niet verplichte karakter van het antwoord en de eventuele gevolgen van niet beantwoording; het bestaan van een recht op toegang en op verbetering van de persoonsgegevens die op hem betrekking hebben; behalve indien die verdere informatie, met inachtneming van de specifieke omstandigheden waaronder de persoonsgegevens verkregen worden, niet nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen. Hieronder bevindt zich een voorbeeld van beknopte informatieverstrekking, die een onderdeel kan zijn van een meer volledige Privacyverklaring. De Commissie wijst er evenwel op dat dergelijke "privacytemplates" en "privacy policy generators" niet voor alle situaties geschikt zijn. Men dient voor ogen te houden dat zij dienen te kaderen in een privacybeleid dat moeten worden aangepast aan de omstandigheden, dat duidelijk moet zijn opgesteld en dat alle informatie 41 De loutere vermelding van een referte naar een product of dienst, een website of een contactadres per e mail volstaat niet. 42 De doorgifte aan derden vormt een verwerking. 43 Een verwijzing naar een mededeling aan derden of onze handelspartners is ontoereikend.

19 19/36 dient te hebben bevatten. Een zorgvuldige analyse van de precieze situatie is dus steeds vereist, met een oplossing op maat. Onderneming X Beknopte privacyverklaring Een volledige privacyverklaring is op verzoek verkrijgbaar Wij bewaren de persoonsgegevens die u ons geeft om u te helpen met het verkrijgen van de door u gewenste producten en diensten. Indien u dit niet wenst, kunt u het onderstaande vakje aanvinken : 0 Mogen wij uw gegevens ook gebruiken met het oog op direct marketing voor producten en diensten van derden (inz. doorgifte aan derden, samenwerking met derden)? Indien u akkoord gaat, kruis dan dit vakje aan : 0 Voor de volledige privacyverklaring of voor toegang tot of correctie van uw gegevens kunt u zich wenden tot: afdeling *** Onderneming X************************** Tel. 00 ***************** Of ga naar de privacyverklaring op onze website op x.com Als de invulling van een formulier gekoppeld wordt aan de verkrijging van bepaalde voordelen 44, wordt de verantwoordelijke voor de verwerking overigens aanbevolen te vermelden of de betrokkene al dan niet is verplicht te antwoorden op alle vragen die het kenbaar maken van persoonsinformatie impliceren m.a.w. opgave te doen van de gevolgen van het niet verstrekken van een antwoord enerzijds, alsmede de ontvangers van de gegevens 45 te vermelden anderzijds. 2. Informatie omtrent het recht van verzet 44 Bijvoorbeeld de formulieren die moeten worden ingevuld om in de supermarkten kaarten te krijgen die verschillende voordelen bieden. 45 Ingeval een persoon van oordeel is dat een gegeven dat de verantwoordelijke voor de verwerking verplicht moet vragen niet ter zake dienend is, kan hij zich bij laatstgenoemde informeren over de relevantie van het gegeven en in voorkomend geval, in geval van onenigheid, aan de Commissie vragen tussenbeide te komen in het kader van haar bemiddelingsopdracht. Bij gebrek aan duidelijkheid over de verplichte aard van de antwoorden en op grond van het proportionaliteitsbeginsel, kan een persoon weigeren een persoonsgegeven te vermelden op een deelnemingsformulier aan een wedstrijd omdat hij van oordeel is dat het niet terzake dienend is, waarbij zijn deelneming aan de wedstrijd evenwel niet kan worden geweigerd.

20 20/36 Indien de persoonsgegevens bij de betrokkene worden verzameld met het oog op direct marketing (bv. door een werkgever of dienstenleverancier die gegevens van zijn personeel resp. klanten later wenst te hergebruiken met het oog op direct marketing), regelt artikel 34 van het uitvoeringsbesluit de wijze waarop de informatie omtrent het recht van verzet moet worden meegedeeld. Indien de persoonsgegevens schriftelijk bij de betrokken persoon worden verzameld (b.v. antwoordcoupon gepubliceerd in een krant of tijdschrift, een formulier ingevuld naar aanleiding van een bestelling of een inschrijving voor een abonnement, enz.), is de verantwoordelijke voor de verwerking verplicht om aan de betrokkene de mogelijkheid tot de uitoefening van het recht op verzet aan te bieden op het document aan de hand waarvan de gegevens worden verzameld (art. 34, lid 1 van het uitvoeringsbesluit). Indien de persoonsgegevens bij de betrokken persoon op een andere dan schriftelijke wijze zijn verkregen (b.v. via een telefoongesprek met de betrokkene of via zijn persoonlijke blog of website, enz.), moet de verantwoordelijke ofwel een technisch middel voorzien dat de verzetsmogelijkheid aanbiedt, ofwel schriftelijk contact opnemen met de betrokken persoon binnen twee maanden te rekenen van de verkrijging van de persoonsgegevens om hem de gelegenheid te bieden zijn recht op verzet uit te oefenen op het document dat hem door de verantwoordelijke voor de verwerking wordt bezorgd (art. 34, lid 2 van het uitvoeringsbesluit). In voorkomend geval beveelt de Commissie aan om, bij het aanbieden van de verzetsmogelijkheid, het onderscheid te maken tussen: direct marketing door een bedrijf voor haar eigen producten of diensten; externe direct marketing (d.w.z. de handel in persoonsgegevens); 3. Tijdstip van informatie De nadruk wordt gelegd op de verplichting om de betrokken personen uiterlijk op het moment van de verkrijging van hun gegevens te informeren, inzonderheid over hun recht zich te verzetten tegen de verwerking 46 van hun persoonsgegevens voor reclamedoeleinden. 46 Daaronder begrepen de mededeling van hun gegevens aan derden.